WEB
Bernardo
Alarcos
Alczar
MAESTRA EN TECNOLOGAS DE LA INFORMTICA EMPRESARIAL
UNAN-LEN (NICARAGUA)
JULIO-2014
Colaboran:
1. Introduccin.
2. Capacidades.
Se
pretende
con
este
cuso
que
el
alumno
adquiera
las
siguientes
capacidades:
Conocer
los
diferentes
componentes
de
una
arquitectura
web
y
las
principales
amenazas.
Saber
aplicar
metodologas
para
gestionar
la
seguridad
de
una
infraestructura
web.
Saber
utilizar
herramientas
de
auditora
web.
Saber
utilizar
herramientas
y
procedimientos
de
defensa
y
respuesta
frente
a
ataques
de
seguridad.
3. Contenidos.
l. Prevencin
y
ataques.
m. Ingeniera
social.
3. Gestin
de
la
seguridad
y
Auditoras.
a. Metodologas.
b. Auditoras.
c. Anlisis
de
riesgos.
d. Polticas
de
seguridad.
e. Plan
de
recuperacin.
En
el
transcurso
de
las
sesiones
el
alumno
analizar
diferentes
herramientas
y
tcnicas
para
evaluar
la
seguridad
y
debilidades
y
para
proteger
los
sistemas.
Esto
incluye
configuracin
de
los
sistemas,
evaluacin
de
vulnerabilidades,
configuracin
de
sistemas
firewall
e
IDS,
herramientas
de
auditorias.
4. Planificacin
temporal.
El
curso
se
planifica
en
8
sesiones
de
trabajo.
Cada
sesin
tendr
una
parte
de
contenido
tericos
y
una
parte
prctica.
La
siguiente
tabla
muestra
la
distribucin
de
contenidos
por
sesin.
Sesin
Tipo
1
Teora
Introduccin
a
la
seguridad
web
Prctica
Configuracin
del
entorno
de
laboratorio
y
familiarizacin
de
herramientas.
2
Teora
Anlisis
de
Ataques
y
Defensa.
Tcnicas
de
Hardering.
Prctica
3
Teora
Anlisis
de
Ataques
y
Defensa.
Autenticacin
y
control
de
acceso.
Prctica
4
Teora
Anlisis
de
Ataques
y
Defensa.
Ejemplo:
Inyeccin
de
datos.
Prctica
5
Teora
Anlisis
de
Ataques
y
Defensa.
Ejemplo:
Cross
Site
Scripting
(XSS)
Prctica
6
Teora
Anlisis
de
Ataques
y
Defensa.
Cross
Site
Request
Forgery
Prctica
7
Teora
Gestin
de
la
seguridad
y
auditoras
Prctica
Prcticas
de
testing.
Configuracin
segura.
8
Teora
Gestin
de
la
seguridad
y
auditoras.
Prueba
de
evaluacin:
Test
de
conocimientos.
Revisin
de
pruebas
no
superadas
previamente.
5. Metodologa.
6. Evaluacin
7.
Libros recomendados
Estos
libros
constituyen
lectura
recomendada,
aunque
no
son
necesarios
para
el
seguimiento
de
la
asignatura.
En
internet
hay
suficientes
referencias
de
acceso
libre
para
poder
profundizar
en
cada
uno
de
los
aspectos
que
se
vean
durante
el
curso.
8. Enlaces recomendados.
Sin
pretender
que
sea
una
lista
completa
ni
la
mejor
seleccin
de
artculos,
se
presenta
una
lista
de
enlaces
relacionados
con
la
temtica
del
curso.
En
la
documentacin
se
podrn
enlaces
ms
especficos
relacionados
con
los
temas
tratandos.
Enlaces
genricos
seguridad:
https://www.owasp.org/index.php
http://www.sans.org
http://www.us-cert.gov
http://cert.inteco.es/
http://www.hispasec.com/
http://www.kriptopolis.com/
Buenas
prcticas
en
desarrollo
de
cdigo:
https://phpbestpractices.org/
http://www.tutorialized.com/tutorials/PHP/Security/1
http://www.cyberciti.biz/tips/php-security-best-practices-tutorial.html
Hardering
Ubuntu
http://www.thefanclub.co.za/how-to/how-secure-ubuntu-1204-lts-server-
part-1-basics
http://www.seleads.com/webmastering/how-to-harden-an-ubuntu-linux-
installation/
Apache
http://chandank.com/security/10-best-practices-to-secure-and-harden-
your-apache-web-server
http://httpd.apache.org/docs/current/misc/security_tips.html
http://resources.infosecinstitute.com/hacker-proofing-apache-php-
configuration/
http://www.openlogic.com/wazi/bid/188105/How-to-Secure-Your-
Apache-Web-Server
http://web-server-configuration.blogspot.com.es/2012/01/apache-web-
server-security-best.html
http://www.tecmint.com/apache-security-tips/
MySQL
http://www.securethelock.com/2014/01/09/12-steps-for-hardening-
mysql-from-attackers/
http://www.greensql.com/content/mysql-security-best-practices-
hardening-mysql-tips
Recuperacin
ante
desastres:
http://www.htmlgoodies.com/beyond/security/article.php/3598326
Auditorias
y
herramientas:
http://www.sans.edu/research/security-laboratory/article/audit-web-apps
http://www.sans.edu/student-
files/presentations/auditing_web_apps_withnotes.pdf
http://www.netcraft.com/security-testing/web-application/
http://wapiti.sourceforge.net
Herramientas
de
seguridad:
http://www.kali.org/
http://w3af.org